Перечень документов по защите персональных данных

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Перечень документов по защите персональных данных». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

С 1 марта 2023 года компании должны будут уведомлять Роскомнадзор о зарубежных поставщиках, которые получают доступ к личным данным россиян (ст. 12 Закона № 152ФЗ). РКН, в свою очередь, пример решение можно ли передавать данные этим контрагентам или нельзя. О своем решении компанию уведомят в течение 10 рабочих дней.

Передача персональных данных за границу

Заметим, что новшество напрямую касается онлайн-продавцов. Разрешение не выдадут, если иностранный контрагент работает в стране, которая с точки зрения РКН не обеспечивает защиту данных. А вот если поставщик находится в стране, которая ратифицировала Конвенцию Совета Европы о защите физлиц при автоматизированной обработке персональных данных, то разрешение, скорее всего, дадут. Конвенцию, к примеру, ратифицировали Армения, Азербайджан, Сербия, Турция.

Высокая степень вреда присваивается, если:

• ведётся обработка биометрических ПД с целью установления личности субъекта, которому они принадлежат. Исключение – случаи, когда обработка таких данных прямо предусмотрена законом;
• ведётся обработка ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости. Исключение – случаи, установленные федеральными законами для специальных категорий ПД;
• ведётся обработка ПД несовершеннолетних для исполнения или заключения договора;
• обезличиваются ПД для оказания услуг по прогнозированию поведения потребителей товаров и услуг, а также других исследований, не предусмотренных п. 9 ч. 1 ст. 6 Закона № 152-ФЗ;
• иностранному гражданину поручено вести обработку персональных данных граждан РФ;
• осуществляется сбор ПД с помощью баз данных, находящихся за пределами РФ.

Как и когда нужно уведомлять Роскомнадзор

Об обработке персональных данных следует уведомлять Роскомнадзор. Уведомление подаётся однократно по каждому работнику в управление ведомства в субъекте РФ по месту регистрации компании в налоговом органе.

Уведомление подаётся в бумажном или электронном виде. Во втором случае отправить документ можно посредством портала Роскомнадзора, предварительно подписав УКЭП. Сразу после того, как ведомство подтвердит получение уведомления, можно приступать к обработке персональных данных.

Когда можно не подавать уведомление

Такие случаи предусмотрены ч. 2 ст. 22 Закона № 152-ФЗ:

• персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
• оператор осуществляет деятельность по обработке персональных данных без использования средств автоматизации;
• персональные данные обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Какие документы по персональным данным должны быть в организации

Типовой перечень документов по персональным данным (для Роскомнадзора и не только) в каждой организации следующий:

• положение о работе с персданными сотрудников;
• политика защиты и обработки персданных;
• уведомление в территориальный орган Роскомнадзора о намерении осуществлять обработку ПД;
• приказ о назначении ответственного за работу с персданными;
• регламент допуска сотрудников к обработке ПД;
• обязательство о неразглашении персданных (отдельным документом или в виде дополнительного соглашения);
• согласие сотрудников на обработку ПД;
• уведомление в Роскомнадзор о трансграничной передаче ПД (если таковая есть);
• уведомление в Роскомнадзор об изменении сведений, содержавшихся в предыдущих уведомлениях;
• акт об уничтожении персданных;
• акт об оценке возможного вреда субъектам персданных;
• выгрузка из журнала регистрации событий в системе персданных;
• правила и план внутреннего контроля соответствия обработки ПД;
• протоколы внутренних проверок условий обработки ПД (один раз в три года).

Перечни информационных систем и лиц, допущенных к работе с ними, и инструкция по безопасности ПДн

Информационная система (ИС) в понимании № 152-ФЗ – это совокупность содержащихся в базах данных персональных сведений, информационных технологий и технических средств, обеспечивающих их обработку.

Сначала управляющей организации следует составить перечень таких информационных систем. Определите, в каких ИС вы обрабатываете ПДн при проведении ОСС или расчёте платы за жилищно-коммунальные услуги.

Затем составьте список лиц, допущенных к работе с такими ИС, и разработайте для них инструкцию пользователя ИС. Также подготовьте:

• журнал учёта прав;
• источники угроз ИС;
• журнал регистрации фактов нарушения и восстановления работоспособности оборудования;
• инструкцию по организации восстановления программного обеспечения, баз информационных систем персональных данных.

Подотчетным станет сбор персональных данных:

• в ходе трудовых отношений,
• при заключении договоров с мобильными операторами, общественными объединениями или религиозными организациями, государственными автоматизированными информационными системами,
• уже упомянутых ФИО,
• даже если люди дают согласие на сбор и обработку своих персональных данных. Поэтому мы так часто должны были ставить галочки в окошках согласия на обработку данных: это снимало с компаний обязанность отчитываться перед Роскомнадзором, но с 1 сентября 2022 года наше согласие перестанет что-то значит и требовать его с нас не будет смысла,
• для выдачи пропуска (в том числе одноразового) на территорию или в здание (с 1 сентября 2022 года это становится незаконным, если организация не уведомила Роскомнадзор о сборе персональных данных).

Общедоступные персональные данные

Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).

На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).

К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).

Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.

К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.

Зачем формировать пакет документов?

Разработка документации входит в число обязательных действий в рамках приведения компании в соответствие с ФЗ-152 и другими актуальными нормативно-правовыми актами в сфере ПДн. По ним контролирующие органы могут судить, насколько ответственно фирма подходит к защите сведений граждан, используемых в своей деятельности, и, соответственно, назначать наказание в случае выявления нарушений. В свою очередь оператору документы по обработке персональных данных нужны для:

• упорядочивания текущих операций;
• назначения ответственных лиц;
• внутреннего отслеживания процессов;
• предупреждения штрафных санкций, размер которых может достигать нескольких сотен тысяч рублей;
• поддерживать имидж надежной организации в глазах клиентов и партнеров;
• избежать наказания в виде лишения свободы, которое полагается за отсутствие определенных бумаг, связанных с обработкой и защитой ПДн.

Необходимые документы по персональным данным

Список деловых бумаг, которые потребуются оператору, обширный, при этом отсутствие даже одной может стать причиной серьезных проблем в будущем. В зависимости от решаемых задач документация может быть:

• организационной — позволяет определить, какие департаменты и конкретные лица несут ответственность за обеспечение защиты ПДн, а также какие точно задачи в рамках данной деятельности на них возлагаются;
• методической — позволяют более детально определить ключевые моменты работы с бумагами, в которых содержатся личные данные граждан (в том числе сотрудников);
• технологической — является отображением СЗПДн.

Все без исключения документы по защите персональных данных должны быть утверждены директором предприятия, причем везде нужна пометка о согласии на обработку ПДн заинтересованных лиц. В отдельных случаях часть файлов из пакета может передаваться владельцам обрабатываемых сведений для изучения, при этом они расписываются, что с ними ознакомились.

Штрафы за нарушения персональных данных 2018 года

Нарушения:

1.Обрабатывает персональные данные в случаях, которые не предусмотрел Закон о персональных данных. Например, интернет-магазин запрашивает избыточную информацию о потребителе — требует скан паспорта, водительских прав, свидетельства ИНН.

2.Обрабатывает персональные данные в целях несовместимых с теми, которые заявлялись. Например, гражданин указал электронную почту для покупки в интернет-магазине, а магазин воспользовался адресом и рассылает рекламу.

Привлекут к ответственности по части 1, только когда действия не подпадают:
• под часть 2 или
• состав преступления

Наказание:

Предупреждение или штраф:
• гражданам — от 1 тыс. до 3 тыс. руб.;
• должностному лицу и предпринимателю — от 5 тыс. до 10 тыс. руб.;
• организации — от 30 тыс. до 50 тыс. руб.

Судебная практика:

Постановление Тамбовского областного суда от 6 апреля 2012 г. по делу № 4-а-32

Что делать, чтобы избежать штрафа:

Обрабатывать данные только:
• в случаях, которые предусмотрел закон;
• в целях, которые заявлялись

Нарушения:

1. Обрабатывает персональные данные без письменного согласия лица, когда такое согласие требует закон. Например, собирает и хранит специальные персональные данные — информацию о здоровье, политических взглядах, вероисповедании. Состав распространяется только на случаи, когда в действиях нет признаков преступления.
2. Нарушает требования закона к составу сведений, которые нужно включить в согласие субъекта персональных данных на обработку его персональных данных. Например, не перечислил третьих лиц, которым будет передавать персональные данные Не опубликовал на сайте или по- другому не обеспечил неограниченный доступ:
• к документу, который определяет политику оператора в отношении обработки персональных данных, или
• к сведениям о реализуемых требованиях к защите персональных данных

Наказание:

Штраф:

• гражданам — от 3 тыс. до 5 тыс. руб.;

• должностному лицу и предпринимателю — от 10 тыс. до 20 тыс. руб.;
• организации — от 15 тыс. до 75 тыс. руб.

Предупреждение или штраф:
• гражданам — от 700 руб. до 1,5 тыс. руб.;
• должностному лицу — от 3 тыс. до 6 тыс. руб.;
• предпринимателю — от 5 тыс. до 10 тыс. руб.;
• организации — от 15 тыс. до 30 тыс. руб.

Судебная практика:

Постановление Верховного суда Республики Саха (Якутия) от 29 октября 2015 г. № 4а-547/2015; Постановление Пермского краевого суда от 22 мая 2015 г. по делу № 44а- 401/2015; Постановление Самарского областного суда от 8 августа 2016 г. № 4а-847/2016 Постановление Тамбовского областного суда от 4 октября 2016 г. по делу № 4А-288/2016.

Что делать, чтобы избежать штрафа:

1. Получить согласие субъекта персональных данных на обработку его персональных данных.
2. Включить в согласие необходимые сведения

Опубликовать на сайте общедоступные ссылки:
• на Политику организации в отношении обработки персональных данных и
• иные сведения о требованиях к защите персональных данных.

Нарушения:

1.Не опубликовал на сайте или по-другому не обеспечил неограниченный доступ:
• к документу, который определяет политику оператора в отношении обработки персональных данных, или
• к сведениям о реализуемых требованиях к защите персональных данных.

Наказание:

Предупреждение или штраф:
• гражданам — от 700 руб. до 1,5 тыс. руб.;
• должностному лицу — от 3 тыс. до 6 тыс. руб.;
• предпринимателю — от 5 тыс. до 10 тыс. руб.;
• организации — от 15 тыс. до 30 тыс. руб.

Хранение и использование персональных данных

В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под подпись.

Работодатель утверждает перечень сотрудников, которые будут обрабатывать персональные данные и которые имеют к ним доступ. Чаще всего это входит в обязанности бухгалтера и кадрового специалиста. Таким сотрудникам будут доступны только те данные, которые необходимы для выполнения конкретных функций, то есть по конкретным направлениям их деятельности (ст. 88 ТК РФ).

Порядок допуска к персональным данным сотрудников закон не устанавливает. Поэтому работодатель вправе определить его самостоятельно и прописать в локальном акте организации, например, в Регламенте допуска работников к обработке персональных данных. В этом документе также необходимо указать конкретный перечень сотрудников, которые имеют доступ к персональным данным других сотрудников.

Также издайте приказ, в котором пропишите должности и фамилии сотрудников, а также закрепленные за ними объекты обработки персональных данных.

Основные этапы защиты ПДн

Мы разделили процесс на 9 этапов, о которых ниже расскажем более подробно:

1. обследование;

2. моделирование угроз;

3. разработка технического задания;

4. проектирование системы защиты;

5. реализация технической части системы защиты;

6. реализация организационных мер;

7. оценка эффективности принятых мер;

8. аттестация;

9. поддержание необходимого уровня защиты в процессе эксплуатации.

Какие документы включают в дело

Работодатель обычно имеет в своем распоряжении как оригиналы документов работников (анкеты, учетные карточки), так и их копии. При формировании личного дела работника в 2022 году в папку включают и те, и другие. Следует помнить, что копии документов обязательно заверяются в установленном порядке надлежащим образом (для госов копии паспортов являются обязательными в ЛД, для других категорий работников этот вопрос решается на уровне компании). Документы в ЛД делятся на:

• формируемые в момент устройства человека на работу;
• возникающие в процессе работы в фирме;
• документы об увольнении из конкретной компании.

В первую группу входят:

• справка о наличии (отсутствии) судимости (при поступлении на работу, к осуществлению которой не допускаются лица, имеющие судимость или подвергавшиеся уголовному преследованию);
• справка о прохождении медицинского осмотра (при трудоустройстве в случаях, предусмотренных Трудовым кодексом РФ) и медкнижка;
• трудовой договор (оригинал работодателя);
• приказ о приеме на работу.

Во второй группе — договор о материальной ответственности, копия должностной инструкции, дополнительные соглашения к трудовому договору (в случае их заключения), приказы о переводах, назначениях, поощрениях или взысканиях. Сюда включают сведения о прохождении периодических медосмотров, информацию о повышении квалификации или обучении и подписку о неразглашении коммерческой тайны. Здесь же, при необходимости, хранятся:

• копии заявлений и приказов о предоставлении отпусков;
• объяснительные записки;
• служебные записки;
• различные акты и уведомления.

Формирование личных дел сотрудников в 2022 году

Ни в Трудовом кодексе, ни в других нормативных актах Российской Федерации не содержится обязательного требования вести кадровую документацию исключительно с помощью личных дел, заводимых на каждого сотрудника. Поэтому такое оформление данных о персонале вовсе не является обязательным или даже рекомендованным.

ВАЖНО! Законами РФ для юридических лиц или индивидуальных предпринимателей ведение личных дел на своих сотрудников не запрещается.

Если руководство организации или ИП приняли решение ввести у себя обязательность заполнения личных дел, это надо закрепить в учетной политике, прописав процедуру во внутренних нормативных актах. Как правило, делопроизводители не «изобретают велосипед», а пользуются регламентом, разработанным для государственных служащих.

Несмотря на то что никакие требования не определяют и не ограничивают состав личного дела и порядок его ведения, практика этой отрасли делопроизводства показывает несомненное удобство для руководителя этой формы хранения личной информации. Именно по этой причине повсеместная распространенность личных дел в кадровой службе сформировала миф об их обязательности.

Положительный эффект от внедрения личного учета кадров очевиден:

• своевременный учет всей документации о сотруднике;
• отслеживание карьерной динамики;
• учет данных о возможных полагающихся льготах;
• оценка перспектив профессионального роста;
• сохранность и упорядоченность личной документации;
• оперативный доступ ко всей совокупности кадровой информации.

Однозначно можно ответить на этот вопрос только в отношении государственных служащих: на всех, поскольку того требует закон.

Поскольку для частных предпринимателей ведение личных дел не обязательно, они сами могут решать, на каких сотрудников вести эту документацию, а какие могут обойтись и без такого подробного кадрового учета. Часть руководителей, практикующих эту систему, предпочитает вести личный учет на весь персонал, чтобы систематизировать данные на каждого сотрудника. Но некоторые в целях экономии времени организовывают ведение личных дел только на некоторые категории сотрудников.

На сотрудников каких должностей обычно заводят личные дела:

• руководящее звено;
• заместители руководителей разных уровней;
• ключевые специалисты;
• сотрудники, несущие материальную ответственность;
• кадровый резерв и др.

К СВЕДЕНИЮ! На таких сотрудников целесообразно завести личное дело вне зависимости от формы и времени его трудоустройства – по совместительству или на основной работе он трудится, по срочному трудовому договору или на постоянной основе.

Реже обеспечиваются личными делами должности, для которых не предусмотрены образовательные, квалификационные или другие специальные требования, например, уборщица, вахтер, дворник и т.п.

Как правило, впервые личное дело заводится на сотрудника после подписания приказа о его трудоустройстве и его ознакомления с этим приказом.

Личное дело ведется, пополняется документацией, обновляется в течение всего времени работы сотрудника на данного работодателя. В отличие от личных дел на государственной службе, у частных предпринимателей не принято предавать личные дела при смене рабочего места. Актуальность личного дела длится до его передачи в архив вследствие увольнения сотрудника.

Корректное оформление личных дел существенно облегчает работу с кадровой документацией. Практика выработала ряд рекомендаций относительно эффективного формирования личных дел:

1. Документы собираются под одной обложкой, чаще всего это папка, реже просто файл или скоросшиватель. Для каждого сотрудника они должны быть отдельными.

ПОМНИТЕ! Архивы принимают на хранение личные дела только в картонных папках. Скоросшиватели и файлы для этой цели неприемлемы, они могут быть только для внутреннего использования.

2. Нецелесообразно формировать дела толще 4 см.
3. Документы для постоянного хранения не должны быть смешаны с временными документами.
4. В личном деле могут быть как оригиналы документов, так и их заверенные копии.
5. Важные документы постоянного хранения для личного дела предпочтительнее заменить копиями.
6. В рамках одного личного дела не принято хранить по несколько экземпляров одного и того же документа.
7. Если документ предусматривает приложения, их нужно хранить вместе с соответствующими бумагами.
8. Документы в деле должны располагаться по хронологическому принципу, то есть по мере их возникновения.

Личное дело представляет собой совокупность большого количества документов, что диктует обязательность какого-либо способа легкого поиска нужной информации. Принято систематизировать сведения из личного дела на титульном листе (обложке). Удобно пользоваться требованиями к оформлению обложки, которые остались неизменными с 17.07.1972 года (ГОСТ17914-72):

• сверху оставляется место для будущего архивного штампа;
• сверху по центру располагается полное и сокращенное наименование организации;
• ниже указывается структурное подразделение (нужно оставить несколько строк для отражения информации о возможной перемене отдела);
• номер дела (по номенклатуре, принятой в фирме);
• фамилия, имя и отчество сотрудника, на которого заводится дело;
• правый нижний угол несет информацию о сроках ведения дела: дате открытия, то есть дня приема на работу, и дате закрытия (приказа об увольнении);
• здесь же пишется количество листов в деле на момент описи;
• срок хранения дела.

Документы личного дела отражают трудовые отношения работника и работодателя. Эти документы выполняют функцию доказательства в спорных случаях, подтверждают законность действий работодателя, а также защищают социальные (в т.ч. пенсионные) права работника.

Похожие записи:

• Штраф за езду без номеров в 2023 году
• Как с 11.02.2023 заполнять платежные поручения по налогам и взносам
• Какие документы нужны для оформления материнского капитала в 2023 году